به عنوان یک کارشناس امنیت اطلاعات شما بایستی انواع مهاجمین را از هم تشخیص دهید. در نیروی انتظامی زمانیکه یک زورگیر یا قاتل یا کسی که چک برگشتی دارد را دستگیر می شود ، شیوه برخورد با هر کدام متفاوت است. در حوزه امنیت اطلاعات نیز مجرمان دارای طبقه بندی می باشند و هر کدام بر حسب نوع فعالیتی که انجام می دهند و خلافی که انجام داده اند رده بندی می شوند. برحسب این تنوع ، شما بایستی کنترلهای امنیتی مناسب را پیاده سازی کنید تا بتوانید با تهاجم آنها مقابله کنید. در حوزه امنیت اطلاعات مهاجمین به صورت کلی به شش نوع طبقه بندی می شوند ، در ادامه در خصوص هر یک از این نوع مهاجمین صحبت خواهیم کرد :
انواع و اقسام مختلفی از روش های حمله وجود دارد که همگی آنها دارای یک اصول اولیه تقریبا یکسان هستند . همانطور که در زمان جنگ هیچ عملیات نظامی بدون داشتن اطلاعات کافی از هدف و در نهایت برنامه ریزی برای حمله انجام نمی شد در حملات هکری و امنیتی نیز همین روال وجود دارد. برای انجام یک حمله هکری درست ابتدا تا جایی که امکان دارد در خصوص هدف اطلاعات بدست می آوریم ، این اطلاعات شامل اطلاعات نرم افزاری و سخت افزاری و یا حتی اطلاعات فردی مورد نیاز جهت حمله به هدف می باشد. در مرحله دوم حمله انجام می شود ، با توجه به اطلاعات به دست آمده حمله انجام می شود و در مرحله سوم هکر راه را برای نفوذ مجدد و بدون دردسر باز می کند ، در این مرحله تنظیمات امنیتی سیستم هدف توسط هکر تغییر می کند و در نهایت هکر آثار بازمانده از خود بر روی سیستم را حذف می کند.
اما نکته اصلی در اینجاست که چگونه می توان حملات را کاهش داد یا حداقل تا حدودی در مقابل آن مقابله کرد ؟ ابتدا به یک نکته توجه داشته باشید که امنیت اطلاعات یک درجه بندی ثابت ندارد ، هیچوقت هیچ شبکه یا هیچ سیستم اطلاعاتی نمی تواند بصورت 100 درصد ادعای امنیت داشته باشد ، چنین چیزی امکانپذیر نیست ، این جمله را مجددا از محمد نصیری به خاطر داشته باشید : اگر هکری بخواهد به سیستم شما نفوذ کند ، قطعا اینکار را می کند ، شما به عنوان یک کارشناس امنیت اطلاعات صرفا کار وی را دشوارتر می کنید. پنج گام برای برقراری امنیت برای شبکه و سیستم های اطلاعاتی شما وجود دارد که شامل لایه بندی یا Layering ، محدودسازی یا Limiting ، گوناگونی یا Diversity ، مبهم سازی یا Obscurity و ساده سازی یا Simplicity می باشد. در ادامه در خصوص هر یک از این گام ها بصورت مفصل صحبت خواهیم کرد.
امنیت اطلاعات بایستی بصورت لایه لایه پیاده سازی شود . امنیت تک لایه ای براحتی قابل نفوذ است و این روش محافظت تقریبا منسوخ شده است. عبور از لایه های امنیتی بیشتر کار مهاجم را سخت تر می کند. این دقیقا مثل امنیت برای یک خانه است ، شما اگر فقط برای خانه خود دیوار داشته باشید سارق می تواند از دیوار عبور کرده و وارد منزل شما شود ، اما اگر چند لایه امنیتی مثل قفل درب ها ، حفاظ درب ها ، سیم خاردار و ... را ایجاد کنید برای سارق ورود به منزل شما دشوار تر خواهد شد. با لایه بندی کردن امنیت شما می توانید حملاتی که در لایه های مختلف انجام می شود را پوشش دهید ، استفاده از مدل مرجع OSI می تواند به عنوان یک مدل امنیتی جالب باشد ، اگر حمله ای در لایه نرم افزاری انجام شود و شما در آن لایه محافظتی نداشته باشید مهاجم براحتی نفوذ می کند ، اما فرض کنید شما از لایه فیزیکی امنیت را شروع کرده اید و در تمامی لایه ها مکانیزمهای امنیتی را پیاده سازی کرده اید ، در این حالت نفوذ کردن به هدف بسیار سخت تر خواهد بود. جامعترین روش برقراری امنیت همین لایه بندی امنیت می باشد.
به عنوان کارشناس امنیت اطلاعات بایستی مطمئن باشید که کاربران شما دارای حداقل دسترسی های ممکن برای انجام کارها خود هستند. این یعنی اینکه هر کسی صرفا به اطلاعاتی دسترسی داشته باشد که قرار است دسترسی داشته باشد ، نه بیشتر و نه کمتر. این عمل باعث کاهش چشمگیر تهدیدات موجود در شبکه و سیستم های اطلاعات شما خواهد بود. روش های مختلفی برای به حداقل رساندن و محدود کردن کاربران شبکه وجود دارد ، ایجاد محدودیت برای کاربران کار ساده ای نیست ، شما نمی توانید صرفا از طریق فناوری و روش های فنی موجود این محدودیت ها را اعمال کنید . استفاده از تکنولوژی هایی مانند کنترل های دسترسی می تواند یکی از روش های فنی موجود باشد اما شما بایستی برای محدود کردن کاربران شبکه از موضع قدرت هم استفاده کنید ، استفاده از دستورالعمل ها و خط مشی های که از طرف مدیریت سازمان ارائه می شوند یک ابزار مدیریتی خوب برای اعمال محدودیت می باشد. شما هر چقدر هم که دانش فنی داشته باشید نمی توانید حریف پسرخاله مدیر شوید که خود را مدیر سیستم می داند و اینترنت وایمکس خود را همیشه به دنبال خود به سازمان می آورد.
تنوع یکی از مواردی است که رابطه بسیار نزدیکی با لایه بندی یا Layering دارد. در طراحی لایه های امنیتی بایستی توجه کنید که مکانیزم های امنیتی موجود در هر لایه بایستی متفاوت از لایه های دیگر باشد و از تجهیزات یا نرم افزارهای امنیت مختلفی استفاده شود. این طراحی در کجا به چشم می آید ؟ فرض کنید که شما برای ورود به شبکه داخلی خود از اینترنت دو لایه امنیتی ایجاد کرده اید که در هر لایه یک فایروال قرار دارد ، اگر فرض کنیم که فایروال اول از نوع نرم افزاری و برای مثال TMG شرکت مایکروسافت باشد و فایروال دوم هم از همین نوع باشد ، اگر مهاجمی بتواند از نقطه ضعف بدست آمده در فایروال اول استفاده کند ، در گذر کردن از فایروال دوم مشکلی نخواهد داشت زیر از همان نقطه ضعف بدست آمده می تواند استفاده کند. اما اگر در لایه اول TMG و در لایه دوم یک دستگاه Checkpoint استفاده شود طبیعتا درجه امنیتی بالاتر خواهد رفت .
همانطور که قبلا هم اشاره کردیم مهاجمین برای اینکه بتوانند به درستی حملات خود را انجام دهند بایستی اطلاعات خوبی از هدف خود داشته باشند ، زمانی که صحبت از مبهم سازی یا Obscurity می کنیم بدین معناست که شما کاری می کنید که محیط داخلی شبکه و سرویس های موجود برای مهاجم قابل تشخیص نباشد . در این گام امنیتی شما مهاجم را گمراه می کنید و اجازه نمی دهید که هیچگونه جرئیاتی راجع به شبکه شما بدست بیاورد. فرض کنید که یک هکر قصد حمله به یک وب سایت را دارد ، اولین گام این است که تشخیص دهد وب سرور موجود بر روی وب سایت از چه نوعی است ؟ از چه نوعی سرور نرم افزاری یا سخت افزاری استفاده می شود ؟ از چه سیستم عاملی استفاده می شود و یا اینکه از چه نسخه ای از نرم افزار وب سایت استفاده می شود ، این اطلاعات می تواند به هکر کمک کند که حمله خود را بر اساس نوع هدف برنامه ریزی کند. در مبهم سازی هدف اصلی ما مخفی کردن این اطلاعات از دست مهاجمین است.
طبیعت امنیت اطلاعات پیچیده است ، سیستم های امنیتی معمولا دارای ساختارهای پیچیده ای هستند و همین موضوع باعث می شود که بسیاری از کاربران آنها دانش لازم برای استفاده درست از آن سیستم را نداشته باشند ، به همین دلیل سیستم امنیتی بصورت بهینه استفاده نمی شود ، توجه کنید که همیشه در طراحی سیستم های امنیتی ساده سازی را در نظر داشته باشید ، مکانیزمهای امنیتی زیاد و پیچیده باعث گنگ شدن و از طرفی کاهش کارایی و قابلیت عملیاتی سیستم می شوند. کاربران و پرسنل داخلی شما بایستی بتوانند به سادگی از ابزار های امنیتی استفاده کنند ، یک جمله از محمد نصیری بشنوید ، اگر استفاده از یک چوب را بهتر از استفاده از یک اسلحه تمام اتوماتیک بلد هستید ، در جنگ چوب کارایی بهتری خواهد داشت. برای خودتان ساختار ساده و برای مهاجمین ساختار را پیچیده جلوه دهید.
در این سری از مقالات متوجه شدید که حملاتی که در حوزه امنیت اطلاعات انجام می شوند در سالهای اخیر روز به روز در حال گسترش و زیاد شدن بوده است ، متوجه شدید که دلایل مختلفی وجود دارند که پیاده سازی امنیت اطلاعات در سازمان و سیستم شما را دچار مشکل می کنندو با هم یاد گرفتیم که امنیت اطلاعات محرمانگی ، صحت و دسترسی پذیری منابع اطلاعاتی شما را حفظ می کند ، با استفاده از امنیت اطلاعات شما می توانید دارایی های اطلاعاتی خود را در برابر مهاجمین حفاظت کنید . اهداف امنیت اطلاعات جلوگیری از سرقت اطلاعات ، جلوگیری از افشای اطلاعات و همچنین جعل هویت و بسیاری دیگر از همین موارد عنوان شد. امیدوار هستم در ادامه مقالات بتوانیم مطالب جالبتری را به سمع و نظر شما برسانیم.